Почти 2 года назад вышли поправки в 152-ФЗ, меняющие подход к защите информационных систем персональных данных и требования к системам защиты. Спустя полтора года вышло соответствующее Постановление Правительства. Спустя еще 3 месяца вышли документы ФСТЭК, определяющие правила игры всей отрасли ИБ на ближайшие пару лет. Уже 4 месяц эти документы лежат в Минюсте и неизвестно сколько им ещё там лежать...
Получается классическая для нашей страны ситуация - закон есть, контролер есть, штрафы есть, а требований уже почти 2 года как нет, и когда будут - никто не знает.
ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" был введен в действие приказом Росстандарта 17 апреля 2012 года, но мне достать его удалось только через год и сразу переиздание за март 2013 года. До апреля этого года достать ГОСТ было сложнее чем японский видеомагнитофон во времена СССР.
ГОСТ ДСП. Чтобы его получить небходимо представить в ФГУП "СТАНДАРТИНФОРМ" или РОСОБОРОНСТАНДАРТ нотариально заверенные копии лицензий ФСТЭК и/или ФСБ на деятельность по ЗИ. Распростронять его нельзя, цитировать нельзя, ссылаться тоже нельзя.
Ну вот... теперь и весь мой блог - ДСП =(
Для чего нужна такая секретность абсолютно непонятно, ибо в документе практически ничего нет. Сам документ состоит из 18 страниц, из которых если отбросить воду и приложения, останется всего.... 5.
Оставшиеся 5 страниц - это, фактически, укороченная нарезка из Положения по аттестации объектов информатизации Гостехкомиссии 1994 года. Собственно существенных изменений я нашел только 2:
- наконец-таки теперь официально закреплена разница между просто лицензиатом ФСТЭК и аккредитованным органом по аттестации - первый может аттестовать ИС, обрабатывающие конфиденциальную информацию; второй может аттестовать так же ИС, обрабатывающие гостайну;
- для негостайны можно аттестовать "типовой АРМ" и распростронить действие аттестата на всю информационную систему при условии, что состав средств защиты и их настройки не изменятся. Эта норма есть и в проекте нового СТРК, который пылится сейчас в Минюсте.
Вообщем, тема аттестации в очередной раз не раскрыта, требования к аттестационным документам фактически отсутствуют, шаблонов документов нет. Все это ведёт к тому, что разные компании понимают под аттестацией разные вещи: одни придираются к каждой галочке в настройках ПО и СЗИ, ищут вирусы и уязвимости, проверяют наличие патчей, устраивают персоналу ликбез по ИБ, а другие меряют ПЭМИН, запускают Терьер, ФИКС и Ревизор и выдают аттестат с протоколом испытаний на двух страничках.
В целом, документы ГНИИИ ПТЗИ сильно уступают по качеству тем же докам ИПК ТЭК по безопасности объектов ТЭК, что удручает, т.к. сфера ответственности ФСТЭК ничуть не меньше чем у Минэнерго.
Вроде из нового:
ОтветитьУдалить. Уполномоченные ФОИВ могут запрашивать результаты аттестационных испытаний
. Так же органы по аттестации ежеквартально информаируют Уполномоченные ФОИВ об аттестованных объектах. (Т.е. уже не получится выдать аттестаты задним числом!)
. Расширились методы проверок:
a. проверка соответствия примененных параметров настройки СЗИ требованиям БИ.
b. проверка программной совместимости и корректности функционирования всего комплекса используемых СВТ со средствами защиты
. Появилось приложение к аттестату соответствия с полным перечнем технических средств, средств защиты, программных средств
Ежеквартальное информирование было и раньше;
УдалитьИзменения в методах проверок несерьезные. За 9 лет тут можно было и что-то поумнее придумать.
В приложении к аттестату тоже ничего нового. Все эти сведения были в аттестационных документах.
Правильно ли я понимаю, что ежеквартальное информирование является обязанностью только для аккредитованного органа по аттестации. Просто лицензиат ФСТЭК, информированием может не заниматься - все верно?
УдалитьВерно. Только вот порядки и обычаи лучше уточнять в Вашем региональном отделении соответствующей службы. Кто-то вообще отчетов никаких не требует.
УдалитьМне вот интересно - если ФСТЭК выложит "рекомендации" с формами документов по аттестации, не превратятся ли они сразу же в "обязательные"
ОтветитьУдалитьДык обязательные и нужны чтобы отсечь халтурщиков и профанаторов.
Удалитьтолько формы отчетных документов ещё ничего не гарантируют
Удалитьещё же есть вероятность что кто-то пойдет по пути генерации качественных отчетов, а не по пути качественного анализа.
а выложите скан стандарта пожалуйста
ОтветитьУдалитьОн, к сожалению, с грифом ДСП. Эти документы нельзя сканировать и уж тем более выкладывать в общий доступ.
УдалитьДобрый день! Прошу помочь разобраться в следующих вопросах:
ОтветитьУдалить1) Правильно ли я понимаю что для аттестации объектов информатизации в которых обрабатываются персональные данные либо конфиденциальная информация (в соответствии с Указом Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" (06 марта 1997 г.) необходимо руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013 по выбору органа по аттестации, - для не государственных информационных систем, а для аттестации объектов информатизации в государственных информационных систем необходимо руководствоваться только ГОСТ РО 0043-003-2012 и 0043-004-2013 (и для персональных данных и для конфиденциальной информации).
2) При проведении работ по аттестации не государственного удостоверяющего центра, орган по аттестации может самостоятельно принимать решение, чем руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013?
1. Нельзя сравнивать СТР-К и ГОСТы. Это документы разного уровня. Соответственно, их применение никак не зависит друг от друга.
Удалить2. При аттестации УЦ необходимо использовать и СТР-К и ГОСТы. Вся "конфиденциальная" ветка аттестуется на соответствие РД "Классификация АС". "ПДн" и "ГИС" аттестуются уже по своим отдельным приказам (для них СТР-К имеет статус рекомендательного документа).
Формы аттестата соответствия в СТР-К и ГОСТ РО 0043-003-2012 отличаются. Какую из них использовать?
УдалитьГОСТ - стандарт, СТРК - рекомендации. Решайте сами :)
УдалитьДобрый день! Прошу помочь разобраться в следующих вопросах:
ОтветитьУдалить1) Правильно ли я понимаю что для аттестации объектов информатизации в которых обрабатываются персональные данные либо конфиденциальная информация (в соответствии с Указом Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера" (06 марта 1997 г.) необходимо руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013 по выбору органа по аттестации, - для не государственных информационных систем, а для аттестации объектов информатизации в государственных информационных систем необходимо руководствоваться только ГОСТ РО 0043-003-2012 и 0043-004-2013 (и для персональных данных и для конфиденциальной информации).
2) При проведении работ по аттестации не государственного удостоверяющего центра, орган по аттестации может самостоятельно принимать решение, чем руководствоваться либо СТР-К (с классификацией 1Г, 1Д и т.п.) либо ГОСТ РО 0043-003-2012 и 0043-004-2013?
Добрый день! Прошу разъяснить нужен ли обязательный ежегодный объектовый контроль, если обрабатывается на СВЧ незначительное количество документов.
ОтветитьУдалитьЗаранее спасибо!
Формально нужен. Частенько забивают.
УдалитьОбычно проводят если нужно поменять что-то в аттестационных доках.
В каких документах указано про периодичность ежегодного объектового контроля, и его необходимость?
ОтветитьУдалитьНет никакого ежегодного объектового контроля, это все коммерческие уловки. Аттестация должна проводиться каждые 3 года, никаких промежуточных испытаний.
ОтветитьУдалитьДа что Вы говорите?))) Коммерческие уловки.. Ага, конечно) Это при добровольной аттестации владелец сам определяет необходимость и периодичность ежегодного контроля. А если аттестация обязательна (как например одно из требований под лицензию ФСТЭК) - то в помощь Вам как раз таки ГОСТ РО 0043-003-2012 пункт 8.3. Всё остальное - Ваши выдумалки. И только не говорите, что ГОСТ - это необязательная тема - это будете ФСТЭК объяснять, если ваша организация лицензиат..
ОтветитьУдалить